一、总则

（一）编制目的

为建立健全我局网络安全事件应急工作机制，明确应急相关指挥体系和工作流程，提高对网络安全突发事件的应对能力，减少重大网络安全突发事件造成的损失和危害，保障业务系统运行平稳、安全、有序、高效，制定本应急预案。

（二）工作原则

1．坚持预防为主

提高全局干部职工的网络安全防护意识，加强信息系统安全体系建设，建立完善的网络安全管理制度，按照信息系统建设运行的特点和规律积极做好日常安全工作，开展网络安全教育和培训工作，提升全局干部职工应对突发网络安全事件的能力。

2．提高快速反应能力

建立网络安全预警和事件快速反应机制，建立高效的事件汇报渠道，强化人力、物资、技术储备，增强应急处理能力。保证对网络安全事件做到早发现、早报告、早处理、早恢复等环节的紧密衔接，一旦出现影响信息系统的安全事件，快速反应，及时准确处置。

3．减少损害，降低影响

把保障财政公信力作为首要任务，网络安全事件发生后，应最大程度地减少损害，降低影响，维护财政形象。

4．分级负责、协同处置

按照“谁主管谁负责”的原则，建立和完善应急处置责任制及联动工作机制。

5．制度保障、定期演练

加快应急制度建设和完善，规范应急处置措施与操作流程，明确网络安全应急响应工作的角色和职责，定期进行预案演练，实现应急响应工作的规范化、制度化和流程化。

（三）适用范围

本预案适用于绍兴市财政局网络、计算机及相关配套设备、运行环境及财政各信息系统安全事件的应急响应工作。

（四）启动条件

当发生本预案中定义的3级及以上安全事件时，启动本预案。

二、事件分类与分级

（一）事件分类

综合考虑网络与信息安全事件的起因、表现、结果等，网络与信息安全事件可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个基本分类，每个基本分类分别包括若干个子类。

1．有害程序事件

有害程序事件包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其它有害程序事件。

2．网络攻击事件

网络攻击事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。

3．信息破坏事件

信息破坏事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件和其它信息破坏事件。

4．信息内容安全事件

信息内容安全事件是指通过网络传播法律法规禁止信息，组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公共利益的事件。

5．设备设施故障

设备设施故障包括软硬件自身故障、外围保障设施故障、人为破坏事故、和其它设备设施故障。

6．灾害性事件

灾害性事件是指由自然灾害等其他突发事件导致的网络安全事件。

7．其他事件

其他事件类别是指不能归为以上6个基本分类的网络安全事件。

（二）事件分级

根据网络安全事件造成后果的严重程度，财政网络安全事件可划分为4个等级，其中1级危害程度最高，4级危害程度最低，各级网络安全事件的描述如下：

1级网络安全事件（红色）：特别重大网络安全事件。我局重要网络和信息系统遭受特别严重的系统损失，造成系统瘫痪，丧失业务处理能力；重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对我局工作造成特别严重影响的网络安全事件；其他对我局、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。

2级网络安全事件（橙色）：重大安全事件。我局重要网络和信息系统遭受严重的系统损失，造成系统长时间中断，业务处理能力受到极大影响；部分重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对我局工作造成严重影响的网络安全事件；其他对我局、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。

3级网络安全事件（黄色）：较大安全事件。我局重要网络和信息系统遭受较大的系统损失，造成系统中断，明显影响系统效率，业务处理能力受到影响；少量重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对我局工作造成较大影响的网络安全事件；其他对我局、社会秩序、经济建设和公众利益构成较大威胁、造成较大影响的网络安全事件。

4级网络安全事件（蓝色）：一般安全事件。造成我局信息系统短暂中断但可立即修复，业务处理能力受到影响较小；未达到3级及以上网络安全事件所描述情形，但对我局、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件。

1级和2级网络安全事件统称为重大网络安全事件。

三、组织机构与工作职责

（一）组织机构

绍兴市财政系统信息安全响应的组织机构包括领导决策层、管理协调层和应急执行层三层。

领导决策层由网络与信息安全领导小组构成；

管理协调层由网络与信息安全领导小组办公室（简称信安办）构成；

应急执行层由应急响应综合组、应急响应业务组、应急响应技术组组成；

网络与信息安全专家组为各层级提供应急响应咨询、论证、技术支持等辅助工作。

应急响应组织机构图

（二）工作职责

1、网络与信息安全领导小组(以下简称领导小组)职责

（1）统筹协调组织市局网络安全事件应对工作，推进市局网络安全事件应急机制和工作体系建设。

（2）负责重大网络安全事件的组织和协调。

2、网络与信息安全领导小组办公室（简称信安办）

（1）平时负责和处理网络安全日常工作，当本预案启动后，信安办整体转为网络与信息安全应急办公室（简称应急办），进入应急处置模式，进行应急处置管理与协调。

（2）研究提出网络安全应急机制建设规划和工作计划，检查、指导和督促市局网络安全应急机制建设。

（3）负责市局应急预案管理，指导督促重要信息系统应急预案的修订和完善，检查落实预案执行情况。

（4）指导市局网络安全应急演练、宣传培训等工作。

（5）负责较大网络安全事件的组织和协调，经领导小组授权后，负责重大网络安全事件的组织和协调。

1、应急响应技术组

（1）安全事件接警确认、分析及安全事件初定级，根据事件等级上报信安办（应急办）。

（2）组织技术人员对安全事件进行具体技术处置。

（3）参与应急响应决策过程，从技术方面考虑，为领导小组及其办公室决策提供建议。

（4）负责向领导小组办公室汇报安全事件技术处理进展情况。

（5）联系与协调外部单位的技术力量。

（6）技术故障排除确认。

2、应急响应综合组

（1）负责对外预警信息的草拟，负责向上级单位信安办（应急办）、市网络与信息安全信息通报中心等单位报告文书的草拟（模板事前拟定）。

（2）建立市局信安办（应急办）与上下级单位信安办（应急办）的通讯联络。

（3）根据市局信安办（应急办）指令，向外发布预警/预警解除信息。

（4）负责综合办公平台、因特网门户网站的业务保障及业务恢复正常确认。

3、应急响应业务组

（1）参与应急响应决策过程，从业务方面考虑，为领导小组及其办公室决策提供建议。

（2）根据应急响应工作的需要，采取相应的应急处置措施，组织实施业务的中断与恢复。

（3）负责向领导小组办公室汇报业务处理进展情况。

（4）业务恢复正常确认。

四、应急响应流程

网络安全事件发生后，根据实际情况，采取相应处置措施，以下是安全事件应急响应流程图：

应急响应流程图

（一）报告

1．有关人员接到安全事件报告并做相关确认后，立即通知应急响应技术组组长，应急响应技术组组长应立即组织相关人员对安全事件进行调查分析和评估工作，并对安全事件级别作出初步判断，必要时向专家组咨询，同时应填写《绍兴市财政局网络安全事件应急处置单》（附件一）。

2．若初步判断为4级网络安全事件，由各应急小组直接处理：应急响应技术组进行技术处置；应急响应业务组进行业务处置，并密切关注安全事件的发展；应急响应综合组分别通知涉及的部门、人员做好安全事件事态恶化的有关应急处置准备工作。

3．若初步判断为3级以上（含3级）的网络安全事件，应急响应技术组在实施前期应急处置的同时应立即向信安办（应急办）报告，各应急响应组做好准备工作的同时向信安办（应急办）提出应急处置建议。信安办（应急办）对安全事件进行进一步分析、评估，必要时向专家组咨询。若确认为3级网络安全事件的，由信安办（应急办）进行现场统一指挥和决策，事后向领导小组报告；若认为属2级（含2级）以上网络安全事件的，立即向领导小组报告。

4．领导小组在接到报告后，应立即召集专题会议，必要时向专家组咨询，确定安全事件级别为2级（含2级）以上的，组织相关人员进行现场指挥。

5．网络安全事件为3级的，由信安办（应急办）组织向市网络与信息安全信息通报中心报告安全事件情况；安全事件为2级及以上的，经领导小组批准,由信安办（应急办）及时向市网络与信息安全信息通报中心报告安全事件情况。安全事件情况报告的内容与格式参见附件二。

6．应急响应技术组应将相关信息通报相关设备及服务提供商，以获得必要的应急响应支持。

（二）应急处置

1．先期处置

应急响应技术组接到报告后，要立即采取临时应对措施，防止事态扩大，尽可能减少损失与影响。同时，保护事件现场，获取安全事件证据，备份相关系统日志与审计记录。

2．启动预案

安全事件为3级的，由信安办（应急办）启动特定系统应急预案；2级及以上安全事件，领导小组启动或授权信安办（应急办）启动特定系统应急预案。

3．应急处置

（1）处置过程中，如果发现应急处置措施确实存在缺陷，4级网络安全事件由各应急响应组决定是否变更和如何进行调整；3级网络安全事件由信安办（应急办）研究决定是否变更和如何进行调整；2级及以上网络安全事件由领导小组组织研究和分析，决定是否变更和如何进行调整。

（2）应急处置中，如果因事态变化而造成网络安全事件等级变化，各应急响应组应当立即向信安办（应急办）报告，调整为2级及以上的安全事件报领导小组研究决定，调整为3级及以下安全事件由信安办（应急办）研究决定，各应急响应组按照新的事件等级进行处置。

（3）在信安办（应急办）发布启动应急预案通知后，进行现场指挥与处置。

（4）应急处置结束后，各应急响应组要继续监控网络与信息系统的运行，直至确定可持续正常运行为止。

4．信息发布

（1）发布责任人

安全事件为3级的，由信安办（应急办）按要求对外统一发布；安全事件为2级及以上的，经领导小组审核批准后，由信安办（应急办）按要求对外统一发布。发布的内容应包括预警级别色标、事件的类别、可能波及的范围、可能危害程度、可能延续时间、提醒事宜和应采取的措施等。

（2）信息发布途径

市局因特网门户网站、预算单位门户、FOA邮件、钉钉、微信、QQ、电话、短信、传真等。

（3）其他要求

其他部门或个人不得擅自对外发布或回应任何有关网络与信息系统异常的信息。

5．应急结束

安全事件经应急处置并得到有效控制后，安全事件为3级的，由信安办（应急办）宣布应急结束；安全事件为2级及以上的，由信安办（应急办）提出应急结束的建议，经领导小组批准后执行。应急结束必须同时具备以下条件：

（1）应急响应技术组确认技术故障已排除，可恢复至正常工作状态。

（2）应急响应业务组确认业务已得到有效恢复。

（三）后期处置

1．恢复正常

在应急结束后，应急响应技术组和应急响应业务组要迅速采取措施，对事件造成的损失和影响以及恢复重建能力进行分析评估，确认隐患已消除，解除临时应对措施，迅速组织实施信息系统重建，恢复系统正常运行。

2．总结报告

（1）流程

应急工作结束后，各应急响应组向信安办（应急办）提交书面应急工作总结报告（格式参见附件三），由信安办（应急办）进行汇总，并向领导小组汇报。

（2）报告

总结结束后，网络安全事件为3级的，由信安办（应急办）组织及时向市网络与信息安全信息通报中心报告事件情况、处置过程、处置结果等详细情况；网络安全事件为2级及以上的，经领导小组批准，由信安办（应急办）向市网络与信息安全信息通报中心报告事件情况、处置过程、处置结果等详细情况。

五、应急保障

（一）组织保障

1．组织机构中的人员，要根据变化情况及时更新，经常性对横向（外单位）及纵向（上级和下级部门）联系对象进行沟通了解，及时根据人员机构变动调整联系对象，确保在紧急情况下联系方式的可靠性。

2．对重要系统、网络、设备、软件等都明确责任人，对重要系统、关键设备及软件的维护设置A、B角岗位。

（二）技术保障

1．准备应急所需的硬件设备、软件、网络通讯设备、机房设备等必要物件。

2．重要系统的关键设备要求有备件。

3．对与应急响应工作相关的干部职工进行技术应急响应知识培训。

（三）业务保障

1、准备应急所需的设备、空白表单、记录簿等必要物件。

2、对与应急响应工作相关的干部职工进行业务应急响应知识培训。

（四）后勤保障

1．做好车辆、物资、资金的调度准备以及电力准备等。

2．做好通信与信息保障工作。应急响应综合组要加强应急通信设备与工具的配备。

六、应急演练与预案维护

（一）应急演练

定期组织开展网络与信息系统的应急演练，以检验应急通讯、应急人员、应急设备、应急操作流程的可靠性和可用性。通过应急演练，发现并及时修改应急预案中存在的缺陷和不足，检验各部门的应急保障能力、应急人员对应急响应工作的了解程度和实际操作技能。

（二）预案维护

1．各应急响应组应定期识别评估职责范围内的业务和技术风险，并根据实际应急响应、系统调整、人员变动、业务变化及应急演练中发现的问题等进行动态维护和更新。信安办（应急办）负责综合应急预案、应急预案操作办法的动态维护，应急响应技术组、业务组负责特定系统应急预案的动态维护。

2．应急预案的更新应及时通知所涉及到的相关人员，并落实到每一次的培训和测试中。

七、应急预案的组成

网络安全事件应急处置是一项综合性工作，涉及内容多。为既要遵循预案的规范性、全面性，又要兼顾可操作性和灵活性，结合实际，我局网络安全事件应急预案分为四部分：综合应急预案及操作办法、各特定系统应急预案和应急处置的组织机构。

（一）综合应急预案及操作办法

综合应急预案及操作办法既是面向整体的、全面的、综合性应急预案，又能以直观化方式体现，具有很强的可操作性，能有效指导应急工作的开展。本预案即为综合应急预案及操作办法。

（二）特定系统应急预案

特定系统应急预案是综合应急预案及操作办法的延伸和细化。面向的对象主要是负责具体处置的工作人员，通过图表的形式对特定系统的具体处置工作作出周密、细致的安排，规范各岗位的应急处置职责。由于有业务处置和技术处置两方面的工作，具体可分为特定系统业务应急预案和特定系统技术应急预案。可另行发文。

（三）应急处置的组织机构

应急处置的组织机构即网络与信息安全领导小组及其办公室，是综合应急预案及操作办法不可或缺的重要组成部分。为避免由于人员、岗位变动而需频繁重新发布综合应急预案，可另行发文。

八、预案的发布与生效

本预案自发布日起生效。

附件二

绍兴市网络与信息安全信息通报中心

网络安全事件报告表

单位名称：（需加盖单位公章）  报告时间：   年 月 日 时 分

附件三

绍兴市财政局网络安全事件应急工作总结报告表

报告时间：  年 月 日 时 分